🔥🔥🔥【中共黑客攻击台湾芯片公司 作案手法曝光】
过去两年,至少七家台湾半导体公司受到中共黑客攻击。
在今年黑帽大会(Black Hat)上,台湾网安公司 #CyCraft 研究人员展示了中共黑客活动的最新细节,包括使用“万能钥匙注入器”(Skeleton key injector)技术,过去两年至少侵入七家台湾芯片公司,窃取包括源代码、软件开发套件和芯片设计。
CyCraft还发现它们与中共资助的黑客组织 #Winnti 联系在一起。
💢万能钥匙注入 获得访问权而不暴露痕迹
黑客通过损害VPN(虚拟网络)获得受害者网络的初始访问权限,然后使用渗透测试工具Cobalt Strike的自定义版本,通过为其提供与谷歌浏览器(Google Chrome)更新文件相同名称来掩饰他们所植入的恶意软件。他们还使用了托管在谷歌或微软云服务上的命令和控制服务器,从而使其通信更难被检测为异常。
黑客从最初访问点开始,通过访问受密码杂凑(cryptographic hashing)保护的密码数据库,并尝试破解,从而转移到网络上的其它计算机。只要有可能,黑客就使用被窃取的凭据和用户可用的合法功能获得进一步访问权限,而非使用可能暴露其痕迹的恶意软件感染计算机。
#CyCraft 发现,黑客反复使用的最独特策略是操纵域控制器技术,域控制器是为大型网络设置访问规则的强大服务器。使用结合了通用黑客工具Dumpert和Mimikatz代码的客户定制程序,黑客将为域控制器内存中的每个用户添加一个统一的新附加密码,这种方法称为万能钥匙注入(skeleton key injection)。使用该新密码,黑客将可以秘密访问整个公司的计算机。“这就像一把万能钥匙,可以让他们通行无阻。”
💢新发现:备忘单用简体中文写成
CyCraft找到了这些黑客活动来自 #中共国 的证据。黑客小组从受害者网络中窃取了数据,并从他们与命令和控制服务器的通信中拦截了身份验证令牌。使用相同令牌,CyCraft的分析师能浏览云服务器内容,其中包括他们为黑客准备的“备忘单”(cheat sheet),列明了典型入侵的标准操作程序。该文件特别用简体中文写成,这只在中国大陆使用,台湾使用的是正体中文。
黑客似乎主要在北京时区工作,遵循“996”,并按照中共的假期放假。
多个受害者网络上存在一个后门程序,该程序先前曾被Winnti组使用,Winnti已运行了十年以上,拥有大量黑客,基地位于大陆。2015年,赛门铁克(Symantec)发现Winnti似乎也在使用万能钥匙注入攻击,就像CyCraft发现被用来对付台湾半导体公司的那种攻击。
💢攻击半导体产业 削弱台湾经济
台湾调查局近日指,中共黑客组织长期潜伏攻击台湾,包括近十个政府单位,约6,000个公务电邮信箱。台湾已成立专案小组侦办。
但黑客对于台湾半导体企业的攻击同样危险,窃取芯片原理图可能会让中共黑客更容易挖掘隐藏在计算机硬件中的漏洞。如果他们对这些漏洞进行各种模拟攻击,并在发布之前找到漏洞,那么当这些设备投放市场时,它们已经受到损害。
中共黑客攻击范围几乎涉及整个行业,包括供应链的上下游,是对整个行业的战略攻击。台湾制造了全世界2/3的半导体,而中共国则是世界最大的半导体进口国。“这是削弱台湾经济的一部分,损害台湾长期生存能力的一种方式。”
过去两年,至少七家台湾半导体公司受到中共黑客攻击。
在今年黑帽大会(Black Hat)上,台湾网安公司 #CyCraft 研究人员展示了中共黑客活动的最新细节,包括使用“万能钥匙注入器”(Skeleton key injector)技术,过去两年至少侵入七家台湾芯片公司,窃取包括源代码、软件开发套件和芯片设计。
CyCraft还发现它们与中共资助的黑客组织 #Winnti 联系在一起。
💢万能钥匙注入 获得访问权而不暴露痕迹
黑客通过损害VPN(虚拟网络)获得受害者网络的初始访问权限,然后使用渗透测试工具Cobalt Strike的自定义版本,通过为其提供与谷歌浏览器(Google Chrome)更新文件相同名称来掩饰他们所植入的恶意软件。他们还使用了托管在谷歌或微软云服务上的命令和控制服务器,从而使其通信更难被检测为异常。
黑客从最初访问点开始,通过访问受密码杂凑(cryptographic hashing)保护的密码数据库,并尝试破解,从而转移到网络上的其它计算机。只要有可能,黑客就使用被窃取的凭据和用户可用的合法功能获得进一步访问权限,而非使用可能暴露其痕迹的恶意软件感染计算机。
#CyCraft 发现,黑客反复使用的最独特策略是操纵域控制器技术,域控制器是为大型网络设置访问规则的强大服务器。使用结合了通用黑客工具Dumpert和Mimikatz代码的客户定制程序,黑客将为域控制器内存中的每个用户添加一个统一的新附加密码,这种方法称为万能钥匙注入(skeleton key injection)。使用该新密码,黑客将可以秘密访问整个公司的计算机。“这就像一把万能钥匙,可以让他们通行无阻。”
💢新发现:备忘单用简体中文写成
CyCraft找到了这些黑客活动来自 #中共国 的证据。黑客小组从受害者网络中窃取了数据,并从他们与命令和控制服务器的通信中拦截了身份验证令牌。使用相同令牌,CyCraft的分析师能浏览云服务器内容,其中包括他们为黑客准备的“备忘单”(cheat sheet),列明了典型入侵的标准操作程序。该文件特别用简体中文写成,这只在中国大陆使用,台湾使用的是正体中文。
黑客似乎主要在北京时区工作,遵循“996”,并按照中共的假期放假。
多个受害者网络上存在一个后门程序,该程序先前曾被Winnti组使用,Winnti已运行了十年以上,拥有大量黑客,基地位于大陆。2015年,赛门铁克(Symantec)发现Winnti似乎也在使用万能钥匙注入攻击,就像CyCraft发现被用来对付台湾半导体公司的那种攻击。
💢攻击半导体产业 削弱台湾经济
台湾调查局近日指,中共黑客组织长期潜伏攻击台湾,包括近十个政府单位,约6,000个公务电邮信箱。台湾已成立专案小组侦办。
但黑客对于台湾半导体企业的攻击同样危险,窃取芯片原理图可能会让中共黑客更容易挖掘隐藏在计算机硬件中的漏洞。如果他们对这些漏洞进行各种模拟攻击,并在发布之前找到漏洞,那么当这些设备投放市场时,它们已经受到损害。
中共黑客攻击范围几乎涉及整个行业,包括供应链的上下游,是对整个行业的战略攻击。台湾制造了全世界2/3的半导体,而中共国则是世界最大的半导体进口国。“这是削弱台湾经济的一部分,损害台湾长期生存能力的一种方式。”